Microsoft udostępnia narzędzia do testowania bezpieczeństwa aplikacji

Microsoft wydał dwa programy pomocne w wyszukiwaniu luk w aplikacjach. Mają one ułatwić programistom pisanie bezpieczniejszych programów pod Windows.Pierwszym z udostępnionych narzędzi jest Minifuzz. Służy on do przygotowywania plików zawierających losową zawartość, niezgodną z danym formatem pliku. Dzięki niemu można stwierdzić jak zachowa się program przy analizie nieprawidłowych danych. Nieraz bowiem wychodzi na jaw np. podatność aplikacji na błąd przepełnienia bufora. Warto przy okazji przypomnieć, że podobne narzędzie autorstwa Michała 'lcamtufa' Zalewskiego pozwoliło odkryć kilka poważnych błędów w przeglądarkach.Drugie narzędzie to BinScope Binary Analyzer. Analizuje ono aplikacje aby sprawdzić, czy ich autorzy przestrzegali zasad pisania bezpiecznego kodu. Obejmuje to np. sprawdzenie czy nie była użyta stara wersja kompilatora oraz czy kod był kompilowany z opcją /GS, która pozwala zmniejszyć ryzyko podatności na przepełnienie bufora. Co ciekawe Microsoft wprowadził w BinScope zabezpieczenie przed używaniem go do szukania dziur w programach innych autorów. Jest ono bardzo proste i polega na tym, że program odmawia współpracy jeśli użytkownik nie posiada symboli do danej binarki.